Прохожу Natas 1-3

Доброго времени суток, дорогие читатели. Я тут все же сел за (наконец-то) плотное изучение пентеста, поэтому начал с банального Natas.

Поэтому решил поделиться тем, как я прохожу его и о чем думаю в этот момент. В течении определенного времени, я планирую пройти курсы от OTUS и попутно буду проходить Natas, закрепляя полученные знания на практике.

К слову, я все еще ищу удаленную работу любого характера за скромные 50т в месяц. Также, вы можете меня поддержать по кнопочке "задонатить"
Спасибо!

Пойдем с первого уровня.

Да фиг знает, на вид тут ничего нет, поэтому надо бы посмотреть исходный код страницы, мб что-то и найдется?

Ну пароль я нашел, пошли дальше...

Тут все просто, есть комбинация клавиш которая нам все равно откроет исходный код "ctrl + u"

Пошли по классике, сходим в исходный код

Нет, ну если дали зайти по адресу картинки, то надо бы попробовать и в сами файлы сходить

имеем users.txt, надо глянуть

Я честно без понятия, че тут делать, гугл выдает только ответы, которые я не хочу смотреть. Тут вот до меня начало доходить. Гугл индексирует все, что ему не запрещено при помощи своих ботов. Именно поэтому, используя дорки, вы можете найти документы или файлы различного характера. А для того, что бы запретить это делать, добавляют файл "robots.txt", в котором запрещают сканирование и индексирование определенных директорий или файлов.

Понял, нужно было не лезть в файлы, а сделать /robots.txt после основной ссылки. Тупил тут минут 5.
Как оказалось позже, можно было просто просканировать страницу при помощи BurpSuite или dirb, а не ломать себе голову.

Конечно я на него посмотрю...

Вообще, это первые уровни, они весьма легкие, тк направленны лишь на банальное изучение и понимание того, как и куда можно залезть на сайте. Скорее всего, в реальном случае, основные файлы будут защищены логином и паролем.

Тут я уже пока без понятия что делать, поэтому дальше продолжим в следующей статье! Спасибо за внимание.